HTTP steht für Hypertext Transfer Protocol und wird für den Aufruf von Webseiten verwendet.
Das Protokoll HTTP arbeitet unverschlüsselt. Daher sind die beim Aufruf einer Webseite übertragenden Daten auf dem Weg zwischen dem Browser und dem Webserver nicht vor fremden Augen geschützt.
Für Daten, die z.B. in ein Kontaktformular auf einer Webseite eingetragen werden, gilt das ebenso. Auf diesem Wege könnten unbekannte in den Besitz persönlicher Daten, wie Telefonnummer, Namen und Email-Adressen kommen.

Um dies zu verhindern wurde das Protokoll HTTPS (Hypertext Transfer Protocol Secure) entwickelt. Hierbei wird auf dem Webserver ein Webserver-Zertifikat hinterlegt.
Mit einem Webserver-Zertifikat kann der Server beweisen, dass er für die aufgerufene URL verantwortlich ist. Der Computer, der die Webseite aufruft, verschlüsselt und entschlüsselt mit dem öffentlichen Teil des Webserver-Zertifikats die Daten, die er von der Webseite erhält oder zu ihr sendet.

Die Kommunikation zwischen dem Browser und dem Webserver ist auf diese Weise geschützt und sichert so die übertragenden Daten vor unberechtigtem Zugriff.

Weniger versierte Internetnutzer achten nicht auf die Unterschiede zwischen HTTP und HTTPS. Mit dem Update von Chrome in Version 68 warnt der Browser allerdings aktiv vor „unsicheren“ Websites ohne verschlüsselte Übertragung.

Seit in Kraft treten der europäischen Datenschutzgrundverordnung (DSGVO), am 25. Mai 2018, ist die SSL-Verschlüsselung von Websites Pflicht. Die DSGVO vereinheitlicht erstmals die Regeln zur Verarbeitung personenbezogener Daten.

Es wird zwischen drei verschiedenen Zertifikats-Typen unterschieden

Öffentliche Zertifizierungsstellen stellen kostenpflichtige Webserver-Zertifikate aus. Dabei werden, je nach Zertifikatstyp, verschiedene Methoden angewendet, um zu überprüfen, ob der Antragsteller auch wirklich Eigentümer der Domäne, für die das Zertifikat ausgestellt wird , ist und administrativen Zugriff auf diese hat.

  1. Domain-Validierung
    Der Antragsteller hat bei Domain validierten Zertifikaten technischen Zugriff auf die von ihm angegebene Domain.
  2. Inhaber-Validierung
    Die Validierung des Inhabers erfolgt durch die Überprüfung des Unternehmens anhand des Handelsregisterauszuges oder anderen Dokumenten welche die Existenz des Unternehmens bestätigen.
  3. Erweiterte Validierung
    Die erweiterte Vailiderung geht über die Prüfung des Handelsregisters hinaus und fordert detaillierte Angaben des Unternehmens.

Let’s Encrypt Zertifikat

Das Let’s Encrypt-Projekt bietet hier zum Beispiel eine kostenlose Alternative an. Im Gegensatz zu den Zertifikaten der öffentlichen Zertifizierungsstellen, die mit einer Gültigkeit von einem oder zwei Jahren ausgestellt werden können, besitzen die Zertifikate von Let’s Encrypt eine Dauer von 90 Tagen und müssen daher mehrmals im Jahr erneuert werden.

4+

Sebastian Sustorf

Sebastian ist ein ausgebildeter Netzwerk- und Firewall-Administator mit Hang zu Linux-Betriebssystemen.